[RFR2] wml://lts/security/2016/dla-4{11-2,5-2,6,7,8,9,9-2}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

Le 17/12/2019 à 14:44, JP Guillonneau a écrit :
> Bonjour,
>
> suggestions.
>
> Amicalement.
>
> --
> Jean-Paul

C'est corrigé. De nouvelles relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2014-9761";>CVE-2014-9761</a>
dans Squeeze rétroportait de façon erronée le correctif amont. De nouveaux
symboles n'étaient pas déclarés comme privés et l'ABI a changé. Cela
faisait planter certains programmes et services après la mise à niveau, et
ils devaient être redémarrés.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.11.3-4+deb6u10 d'eglibc.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-411-2.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le correctif rétroporté pour résoudre le
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2569";>CVE-2016-2569</a>
produisait des échecs d'assertion qui faisaient planter squid3 lors de la
clôture de connexions. Le correctif pour ce CVE est fortement dépendant du
traitement d'exceptions présent dans les versions les plus récentes de
squid3, que j'ai échoué à identifier dans la mise à jour précédente. Je
suis revenu sur le correctif pour prendre la position la plus sûre, prenant
en compte que les utilisateurs de Squeeze devraient migrer vers une version
prise en charge de Debian. Cette mise à jour postérieure à la fin de vie
est destinée à conserver un paquet squid3 fonctionnel dans l'archive.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 3.1.6-1.2+squeeze7 de squid3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-445-2.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2167";>CVE-2016-2167</a>

<p>svnserve, le serveur de protocole svn://, peut utiliser la bibliothèque
Cyrus SASL, de façon optionnelle, pour l'authentification, la protection
d'intégrité et le chiffrement. Du fait d'un oubli de programmation,
l'authentification avec Cyrus SASL pourrait permettre à un utilisateur
distant d'indiquer une chaîne de domaine qui est un préfixe de la chaîne de
domaine attendue.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2168";>CVE-2016-2168</a>

<p>Les serveurs httpd de Subversion sont vulnérables à un plantage
déclenchable à distance dans le module mod_authz_svn. Le plantage peut se
produire durant une vérification d'autorisation pour une requête COPY ou
MOVE avec une valeur d'en-tête contrefaite pour l'occasion.</p>

<p>Cela permet aux attaquants distants de provoquer un déni de service.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.6.17dfsg-4+deb7u11 de subversion.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-448.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans botan1.10,
une bibliothèque C++ qui fournit la prise en charge pour beaucoup
d'opérations communes de chiffrement, dont le chiffrement,
l'authentification, les certificats X.509v3 et les listes de révocation des
certificats (Certificate Revocation List – CRL).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9742";>CVE-2014-9742</a>

<p>Un bogue dans le test de primalité Miller-Rabin était responsable d'une
randomisation insuffisante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5726";>CVE-2015-5726</a>

<p>Le décodeur BER pourrait planter à cause d'une lecture, à partir de
l'offset 0, d'un vecteur vide s'il rencontre une chaîne de bits qui ne
contient absolument aucune donnée. Cela peut être utilisé pour faire
facilement planter des applications lisant des données ASN.1 non fiables,
mais cela ne semble pas exploitable pour l'exécution de code.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5727";>CVE-2015-5727</a>

<p>Le décodeur BER pourrait allouer une quantité plutôt arbitraire de
mémoire dans un champ de longueur, même s'il n'y a pas de risque que la
requête de lecture puisse aboutir. Cela pourrait rendre le processus à
court de mémoire ou lui faire invoquer le « Out of Memory killer ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7827";>CVE-2015-7827</a>

<p>Utilisation du remplissage PKCS #1 en temps constant pour éviter une
attaque possible par canal auxiliaire à l'encontre du chiffrement RSA.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2194";>CVE-2016-2194</a>

<p>Boucle infinie dans l'algorithme modulaire de racine carrée. La fonction
ressol mettant en œuvre l'algorithme de Tonelli-Shanks pour extraire des
racines carrées pourrait être introduite dans une boucle quasi-infinie à
cause d'une vérification conditionnelle mal placée. Cela pourrait arriver
si un modulo composé est fourni alors que cet algorithme est seulement
défini pour des nombres premiers. Cette fonction est exposée à une entrée
contrôlée d'un attaquant au moyen de la fonction OS2ECP lors de la
décompression d'un point d'ECC.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2195";>CVE-2016-2195</a>

<p>Correction de dépassement de zone de mémoire du système sur un point
d'ECC incorrect.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2849";>CVE-2016-2849</a>

<p>Utilisation d'un algorithme d'inverse modulaire en temps constant pour
éviter une attaque possible par canal auxiliaire à l'encontre du
chiffrement ECDSA.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.10.5-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-449.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>La mise à jour de sécurité pour botan1.10 provoquait une régression dans
monotone à cause d'une modification de l'ABI. Afin de corriger ce problème,
toutes les dépendances inverses de botan1.10 doivent être reconstruites.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans</p>

<p>monotone 1.0-6+deb7u2</p>
<p>softhsm 1.3.3-2+deb7u1</p>

<p>Nous vous recommandons de mettre à niveau les deux paquets.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-449-2.data"
# $Id: $